Nahezu bei jedem Webprojekt und in jeder Umgebung (auch Production) gehört die Versionsverwaltung Git inzwischen zum Standard. Dabei legt Git stets den Unterordner .git an und wenn dieser auf der Ebene des Public-Ordners der Webseite liegt, kann man öffentlich auf sensible Dateien zugreifen (so zeigt zum Beispiel der Aufruf von /.git/logs/HEAD die letzten Commits an). Hier wird im Detail erklärt, wie man auch ohne Directory Listing ein fremdes(!) Git Repository klonen kann.
Um das zu verhindern, schränkt man im Falle eines Apache-Servers in der .htaccess-Datei den Zugriff auf den kompletten .git-Ordner ein und gibt einen 404-Fehler aus. So weiß der Angreifer auch nicht von der Existenz des Ordners:
32b39d7c9836a649597019300a5c2115
Hat man einen NGINX-Server am laufen, tun es diese Regeln:
32b39d7c9836a649597019300a5c2115